12月16日,教育部公布了首批教育移动互联网应用程序(教育app)备案名单,152款应用获得通过。此前,教育部印发《教育移动互联网应用程序备案管理办法》,要求各单位要在2019年12月1日至2020年1月31日前完成对现有教育移动应用的备案工作,2020年2月1日起,公共服务体系将向社会公众提供备案信息查询,接受社会监督。
哪些教育app需要备案?如何满足备案里面提及的要求?安恒信息安全专家就《教育移动互联网应用程序备案管理办法》,给大家做一个简单的梳理和解读:
教育app的定义
-
应用名称:教育移动互联网应用程序(教育app)
-
用户:教职工、学生、家长为主要用户
-
应用场景:以教育、学习为主要应用场景
-
服务内容:服务于学校教学与管理、学生学习与生活以及家校互动等方面的互联网移动应用
高校教育app应用范围
-
治理行动的对象:高等院校服务于学校教育教学和广大师生工作生活的管理服务类教育移动应用。学校自主开发、自主选用和上级部门要求使用的教育移动应用。
-
治理目标:数据泄漏、内置广告、收集个人隐私信息
本次整治包括哪些app类型?
-
app的形式:独立app、微信公众号、微信小程序
-
公开应用商店:百度、阿里、腾讯及手机厂家软件商店
教育app备案的负责部门
-
省级教育行政部门负责统筹本地区教育移动应用备案管理工作,组织本地区的教育移动应用提供者开展提供者备案。
-
组织所属单位并指导本地区的教育行政部门和学校做好使用者备案。
教育app备案步骤和内容
1、互联网信息服务(icp)备案(工信部)
2、网络安全等级保护定级备案和测评报告(公安网安)
3、提交到备案的网站是 国家数字教育资源公共服务体系(网址:http://app.eduyun.cn,以下简称公共服务体系)
4、提交备案完整信息、icp信息和等保定级和检测报告
向谁备案?
-
教育行政部门、学校、企业和社会组织均向其住所地或注册地省级教育行政部门进行提供者备案。省级教育行政部门开发的教育移动应用向教育部进行备案。
-
小程序、企业号等平台第三方应用统一到平台方提交备案信息,并由平台方向教育部共享备案信息。
如何保障教育app安全运行?
《教育移动互联网应用程序备案管理办法》中提到,要提高事中事后监管能力。各单位以备案为基础建立监测预警通报机制,及时发现、处置问题隐患和安全事件;省级教育行政部门应建立本地区的监测预警通报机制,并与教育部进行数据共享。
这就需要从监管单位、教育app用户和app提供商、安全厂商三个角度来考虑:
教育app软件资产摸底:
方法一:通过各个单位app备案统计;
方法二:通过技术手段,主动探测和识别教育app软件系统。
教育app软件漏洞监管:
通过安恒信息的大数据监测服务技术手段,实现教育app软件及整个系统的安全态势感知,并结合本地的网络安全监测预警通报服务平台进行整改任务的下发和执行情况的监督等,夯实教育移动应用app安全状态和安全风险。
02 教育app用户及app提供商侧
针对自己所使用的教育app软件进行专业化的sdk和开源代码的安全风险评估,从app软件侧产生数据到数据中心侧的传输和处理以及存储的全生命周期进行安全自测和加固服务,参照标准等级保护2.0基本要求中的通用要求 扩展要求内容,要求对app软件的开发者进行安全意识教育和安全开发生命周期的管理工作。
03 安全厂商侧
安恒信息依托教育部的应用安全监测和通报预警服务、联合cert为代表的专业app测评机构所做测评鉴定服务经验,提供专业的整体龙8app登录的解决方案,从事情预警、事中监测、事后管控进行全方位的一体化综合治理。
一是事前预警,安恒信息安全监测预警通报平台或监测服务提供app软件的资产摸底,主动在线探测和识别教育类app软件客户端和业务系统所在的计算区域等。通过探测发现教育类app软件系统存在的漏洞信息,并结合安恒信息行业内的威胁情报大脑信息,判断可能的安全风险,提前通过安全监测预警通报平台或监测服务的方式,发布给监管单位或者app使用者安全预警信息,提前做好防范和整改工作。
二是事中监测,当教育类app软件远程接入到业务系统所在的计算区域进行数据交互、处理和存储数据时,玄武盾或者云端安全监测引擎节点就会实时检测到安全风险,并上报到安全监测预警通报平台或安全监测服务中心,通知相关人员进行处理。
三是事后管控,当遇到app软件有重大安全事件发生,或通过预警研判有违规访问行为发生、或将发生重大突发安全事件时,部署在本单位内的安全监测预警通报平台和玄武盾,可以及时管控移动终端app与业务数据中心之间的异常交互行为,且在安全监测预警通报平台上同时发布高危的告警提示,让安全管理着第一时间进行处理,防止安全事件蔓延。
安恒信息提供安全监测预警通报平台或安全监测服务、漏洞监测服务、漏洞加固、玄武盾、天池云安全等保一体机等,为教育app安全稳定运行提供技术保障,实现教育app安全态势可视化,提高事中事后监管能力。
